一文读懂GB 44495-2024:8.3.5.2 敏感个人信息防泄露安全测试
GB 44495-2024《汽车整车信息安全技术要求》是我国智能网联汽车领域的首批强制性国家标准之一,旨在提升汽车产品的信息安全防护技术水平,强化产业链风险防范和应对网络攻击的能力12。以下是对该标准的详细解读:
标准背景与核心内容背景:随着智能网联汽车产业的迅速发展,汽车智能化、网联化程度不断提高,信息安全问题日益突出。该标准参考了ISO/SAE 21434、UNECE R155等国际主流标准和法规,结合我国智能网联汽车发展现状和实际应用场景制定3。核心内容:标准规定了汽车信息安全管理体系要求,以及外部连接安全、通信安全、软件升级安全、数据安全等方面的技术要求和试验方法12。
适用范围:适用于M类、N类及至少装有1个电子控制单元的O类车辆145。
实施日期:自2026年1月1日起开始实施
测试子项解析:8.3.5.2 敏感个人信息防泄露安全测试
安全要求:
7.4.2 车辆应采取安全访问技术、加密技术或其他安全技术保护存储在车内的敏感个人信息,防止其被非授权访问和获取。
测试指导方法:
测试人员应依据敏感个人信息功能清单和存储地址清单,确认测试零部件,依次触发车辆记录敏感个人信息的功能,并按照以下测试方法依次开展测试,判定车辆是否满足 7.4.2 的要求:
a)若采用安全访问技术保护存储的敏感个人信息,依据敏感个人信息存储区域和地址范围说明,通过零部件调试接口,使用未添加访问控制权限的用户访问存储的敏感个人信息,测试是否能非授权访问敏感个人信息;
b)若采取加密技术保护存储的敏感个人信息,依据敏感个人信息存储区域和地址范围说明,通过零部件调试接口,使用软件分析工具提取存储的敏感个人信息,测试是否为密文存储;
c)依次触发车辆记录敏感个人信息的功能,然后依据系统登录方式进入系统,对测试零部件进行敏感个人信息检索,测试是否可检索出不在敏感个人信息功能清单和存储地址清单中存储的敏感个人信息。
试验方法一:
步骤1:根据提供的系统登录方式进入被测系统,并切换至低权用户;
步骤2:使用低权用户,根据提供的敏感个人信息存储位置,尝试对敏感个人信息存储文件进行读取、篡改、删除操作。检查是否可以执行成功。
试验方法二:
步骤1:根据提供的系统登录方式进入被测系统,并切换至特权用户;
步骤2:使用特权用户根据提供的敏感个人信息存储位置,读取敏感个人信息存储文件内容,检查敏感个人信息是否为明文存储。
试验方法三:
步骤1:根据提供的系统登录方式进入被测系统,并切换至特权用户;
步骤2:进入系统根目录,使用grep命令全局检索敏感个人信息特征字符串,检查是否存在不在敏感个人信息功能清单和存储地址清单中存储的敏感个人信息。
行动呼吁:早认证,早受益!联系我们:立即获取GB 44495-2024《汽车整车信息安全技术要求》测试方案,专业顾问为您定制高效过审策略!!
